WordPress 4.2以前のバージョンでXSSの脆弱性が発覚しました。

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在 – ITmedia エンタープライズ

WordPress 4.2.1が利用可能になりました。これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。

数時間前、WordPressチームはコメントの投稿者がサイトを危険にさらすことが可能なクロスサイトスクリプティングの脆弱性に気が付きました。この脆弱性はJouko Pynnonenによって発見されました。
出典：WordPress 日本語 WordPress 4.2.1 セキュリティリリース

WordPressの公式ブログにも記載されています。

XSS(クロスサイトスクリプティング)とは？

簡単に説明すると、XSSとは、コメント欄等を使用して第3者が悪意のあるJavaScript(例えば変なサイトに飛ばすとかアラートめちゃくちゃ表示させるとか)等をあなたのサイトに埋め込むことです。怖いです。

では、すぐにアップデートすべきなのか？

XSSの脆弱性はかなり危険ですので、確実にアップデートすべき内容なのは確かです。ですが、4.2系にして他にもいくつか不具合が発覚しています。

• WordPress 4.2: 投稿データの編集ができない不具合 | cafa::blog
• WordPress 4.2.1: 新規投稿ができないバグ | appling weblog
• トピック: 皆さん、4.2-jaインストール後に不具合は起きてませんか？ | Simplicity

直にアップデートすべき内容なのですがこのような事例があるので、

「これらの不具合は置いておいて、今すぐアップデートしろ！」

というのは難しいところです。アップデート後、これらの事象に直に対応できる人じゃないと、最悪投稿ができない状態が続きます。

さいごに

脆弱性が発生しているバージョンを使用している方で、デグレが怖くてアップデートをしようかどうか悩んでいる方は

• コメント欄はサイトから除外する

くらいの対応はひとまずしておいたほうがよいかと思います。情報が揃ってアップデートの対応の準備が出来次第、筆者も直ぐにWordPressをアップデートします。

バージョンアップを行う際はバックアップを取ってからの作業を推奨します。